數安條例百問49、50、51:關于重要數據處理者義務
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
網絡數據安全管理條例
第一章 總則
第二章 一般規定
第三章 個人信息保護
第四章 重要數據安全
第五章 數據跨境安全管理
第六章 互聯網平臺運營者義務
第七章 監督管理
第八章 法律責任
第九章 附則
解讀
《條例》分別在第三章和第四章規范了個人信息保護和重要數據安全。有人提出,一部《條例》對應兩部上位法(《數據安全法》和《個人信息保護法》),在行文上會有難度,是不是有可能制定兩部條例,分別落實兩部上位法?從立法資源、工作進度等各個方面看,這都是不現實的,目前的體例不大可能會改變。但兩部上位法有明顯不同,基本不存在交叉,故以一部條例落實兩部上位法,在技術上不存在克服不了的困難。
具體到如何落實兩部上位法,策略是不一樣的。《個人信息保護法》已經建立了比較完整、系統的個人信息保護制度,只需要《條例》在若干處進行細化和作個別補充。《數據安全法》明確了數據安全是國家安全的重要組成部分,并建立了一系列從數據安全角度維護國家安全的重大制度,這些基本都不需要《條例》再去補充。但《數據安全法》對數據安全保護的要求比較零散,設立數據分類分級保護制度后,尚未對重要數據提出一整套保護要求,這則需要《條例》去完善。例如,《數據安全法》對重要數據提出了三方面要求,一是重要數據的處理者應當明確數據安全負責人和管理機構,并落實數據安全保護責任;二是重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估;三是重要數據出境管理。顯然,這些要求不可能構成重要數據管理制度的主體。
以上是《條例》設置第三章和第四章的背景。即,第三章“個人信息保護”本身并不追求完整性,該章與其他章節的個人信息保護要求是對《個人信息保護法》建立的個人信息保護制度的補充完善;但第四章“重要數據安全”及其他章節的重要數據安全要求則與第三章不一樣,是為了建立完整的重要數據保護制度。
因此,雖然《條例》明確,國家對個人信息和重要數據進行重點保護,且《條例》為此分設了不同章節,但第三章和第四章確立的兩個制度的側重點是不同的。
對應條款
第二十八條 重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構。數據安全管理機構在數據安全負責人的領導下,履行以下職責:
(一)研究提出數據安全相關重大決策建議;
(二)制定實施數據安全保護計劃和數據安全事件應急預案;
(三)開展數據安全風險監測,及時處置數據安全風險和事件;
(四)定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動;
(五)受理、處置數據安全投訴、舉報;
(六)按照要求及時向網信部門和主管、監管部門報告數據安全情況。
數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。
解讀
因重要數據關系國家安全,故對重要數據的安全保護要求遠遠超出一般數據。首要的區別是,重要數據處理者應當明確數據安全負責人,成立數據安全管理機構。鑒于數據安全負責人要領導數據安全管理機構,數據安全負責人的職責同數據安全管理機構的工作職能是一致的,故《條例》將其列在同一條款之中,未作區分。
數據安全負責人是否可以兼職?數據安全管理機構是否可以掛在既有的部門中?《條例》對此沒有明確要求,但是數據處理者必須在組織內落實相應職能,確保數據安全事務有人管、有人辦。
《條例》列舉了數據安全負責人和數據安全管理機構的六項職責。多數容易理解,此處不再贅述,僅對“數據安全保護計劃”作說明。
“安全保護計劃”的概念最初來自于《網絡安全法》第三十二條的“安全規劃”:負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。但什么是“安全規劃”,與人們熟悉的五年規劃什么關系?這在當時有多種不同理解。為此,《關鍵信息基礎設施安全保護條例》第二十二條明確,保護工作部門應當制定本行業、本領域關鍵信息基礎設施安全規劃,明確保護目標、基本要求、工作任務、具體措施。該條款指出了“安全規劃”的基本內容。
“數據安全保護計劃”繼承了這一概念。但有所不同的是,《網絡安全法》中的“關鍵信息基礎設施安全規劃”是對行業而提的,必然具備宏觀性。而《條例》中的“數據安全保護計劃”面向的是具體的數據處理者。為此,“數據安全保護計劃”除了要明確本組織的數據安全保護目標、基本要求、工作任務、具體措施外,一般還應當涵蓋本組織的數據安全制度體系和技術方案,確保可實施、可落地。
對應條款
第二十八條 重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構。數據安全管理機構在數據安全負責人的領導下,履行以下職責:
數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔,有權直接向網信部門和主管、監管部門反映數據安全情況。
解讀
《條例》除明確職責外,還對數據安全負責人的資歷及其履職條件作了規定。
《條例》要求,數據安全負責人應當具備數據安全專業知識和相關管理工作經歷,由數據處理者決策層成員承擔。數據安全負責人必須是決策層成員,有權決定組織的重大事項,有能力調動資源,可確保令行禁止,這是任何時候開展工作的前提條件。鑒于數據安全是新生事物,負責人連具備網絡安全專業知識往往都有難度,遑論數據安全。故在實操中,建議數據安全負責人應加強培訓,必要時獲取數據安全相關證書(條例未就持證上崗作明確要求)。
本質上,《條例》第二十八條的規定是對《數據安全法》第二十七條的落實。后者規定:重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。但在《條例》之前,還沒有法律法規對重要數據處理者在組織機構方面的具體職責進行規定,只是《通用數據保護條例》(GDPR)提出了設立數據保護官(DPO)要求,我國《個人信息保護法》提出了設立個人信息保護負責人要求。由此引出了兩個問題:
一是,《條例》的“數據安全負責人”同GDPR的DPO有什么異同?除分別關注重要數據和個人信息保護外,數據安全負責人同DPO在職責定位方面有很多是相同的。但數據安全負責人應當是本組織的決策層成員,DPO則可以由外部人員兼職。這與重要數據保護和個人信息保護側重點不同有關,前者側重國家安全,關注組織內部事務,不宜由外部人員擔任;后者則側重公眾利益,必要時可以強化社會監督色彩。此外,歐盟數據保護委員會針對DPO的能力、任職條件、職責等作了非常詳細的要求,《條例》尚未細致到這一步。未來不排除可以通過標準規范等細化對數據安全負責人的有關要求。
二是,組織根據《條例》明確數據安全負責人后,還需要再根據《個人信息保護法》明確個人信息保護負責人嗎?首先需要指出,《個人信息保護法》沒有要求所有企業都設立個人信息保護負責人,而是在第五十二條規定:處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對個人信息處理活動以及采取的保護措施等進行監督。這個“規定數量”是多少呢?按照《條例》第二十六條的規定,應當是“一百萬人以上個人信息”。實踐中,如果一個組織既需要明確數據安全負責人,也需要明確個人信息保護負責人,兩者可以是同一人,但需分別滿足不同法律法規提出的職責要求。
《條例》對數據安全負責人提出了一項特別的制度設計——數據安全責任人有權直接向網信部門和主管、監管部門反映數據安全情況,以前很少見到這樣的要求。這一規定是考慮到了重要數據對國家安全的影響,故數據安全責任人應當從國家安全角度履行監督職責,因此在制度設計上就要為其履職創造條件,即可以直接向網信部門和主管、監管部門反映情況。這有些類似于紀委的獨立監督職能,但在廣泛的商業環境下會面臨這樣的問題:數據安全負責人既然是本組織的決策層成員,自然在人事上完全隸屬于本組織,在很多機構特別是民營企業中,其怎么可能會繞過董事會、經營班子而直接向監管部門“告狀”呢?除非其不想要飯碗了。
這是一個客觀上存在的現實問題,但不影響《條例》第二十八條第二款的合理性和必要性。今后可以出臺進一步完善關于數據安全負責人制度的規定,特別是建立救濟制度,以確保數據安全負責人能順利履行職責。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
